Комментарии 83
Не нетбота, а ботнета :)
ИМХО, сначала надо создавать правовую базу. Правда, если Большой Брат к этому подключится, он захочет не только фильтровать траффик, но и анализировать, а при необходимости — сохранять.
ИМХО, сначала надо создавать правовую базу. Правда, если Большой Брат к этому подключится, он захочет не только фильтровать траффик, но и анализировать, а при необходимости — сохранять.
Ошибку исправил, спасибо.
> Правда, если Большой Брат к этому подключится, он захочет не только фильтровать траффик, но и анализировать, а при необходимости — сохранять.
Практически весь трафик сохраняется и сейчас, так что в этом плане нового вряд ли что придумают.
> Правда, если Большой Брат к этому подключится, он захочет не только фильтровать траффик, но и анализировать, а при необходимости — сохранять.
Практически весь трафик сохраняется и сейчас, так что в этом плане нового вряд ли что придумают.
Практически весь трафик сохраняется и сейчас, так что в этом плане нового вряд ли что придумают.
Хотелось бы более развернутый комментарий на тему дампа (сохранения) всего трафика (кто, на Ваш взгляд этим действительно занимается). Интернет провайдерам в РФ такая деятельность запрещена Законом о связи, однако каждый интернет-провайдер (в РФ) обязан обеспечить поддрежку СОРМ (проще говоря, возможность наблюдения за трафиком в реальном времени).
Практически весь трафик сохраняется и сейчас, так что в этом плане нового вряд ли что придумают.Бред. Ёмкостей не хватит всё сохранять. Пару дней или неделю могут хранить и всё, но дальше — только выжимки ибо за год через Сеть проходит гораздо больше информации, чем может поместиться на всех существующих в мире винтах…
Вообще проблема многогранна, тут и правовое обеспечение, и железо с ПО способное фильтровать такой траффик на преемлемой для провайдера скорости… Есть 3 направления: 1) на стороне сервера(забота хостера) 2) на стороне телекома (транспортная сеть) 3) на стороне зараженного клиента (вариант, когда антивирусное ПО устанавливается вместе с ОС и постоянно обновляется, более умный и защищенный брэндмауэр в ОС...)
НЛО прилетело и опубликовало эту надпись здесь
ээ, хабрачитель — это хабрачитатель или хабражитель? ;)
китайцы просто сидят в интернете, но их много за 1 IP, а их считают флудерами...=)))
Ересь все это. На трубах в 10 гб что то откидывать фильтровать просто не реально так что создать один большой фильтрационный центр не возможно. На более тонких клиентских линках установить множество центров очистки тоже не рентабельно — нужно содержать штат сравнимый со штатом всех остальных подразделений. Вопщем дело спасения утопающих… либо фильтруйтесь сами, либо платите проффи за защиту?
НЛО прилетело и опубликовало эту надпись здесь
Всё гораздо проще: надо отключить китайцам интернет!
нет, их просто надо пересадить с XP SP1, чтобы они не были центром ботнетов.
ЭЭЭ центры управления ботнетом восновном базируются на серверах с юникс — образными системами. на ХР живут боты а не их центры управления. Если пересадить китайцев на линукс ботов напишут и под линукс, но только эти боты станут еще злее — например научатся син спуф.
непонятно что я тут такого сказал что вызывает гнев и не одобрение =)
//«центр ботнета» — я имел ввиду основную массу зомби-машин.
все верно, только ЦУ в ддос бизе — вещь переменная, и может стоять не только в Китае.
имхо, «проще» устранять именно возможность заражения машины, или хотябы свести её к минимуму, а то часть китайских машин до сих пор можно пробить lsass експлоитом =/
все верно, только ЦУ в ддос бизе — вещь переменная, и может стоять не только в Китае.
имхо, «проще» устранять именно возможность заражения машины, или хотябы свести её к минимуму, а то часть китайских машин до сих пор можно пробить lsass експлоитом =/
А боты и так есть под линукс. Мало их потому, что не принято там сидеть под рутом и тем более запускать что попало.
Подумать только, несколько китайцев-то топик читают!
Поднажмите, ребята, минисуйте активнее, Поднебесная в опасности.
Поднажмите, ребята, минисуйте активнее, Поднебесная в опасности.
мелкие провайдеры(в городах до 1 миллиона человек) часто склонны к лени, цены понижать не хотят (пока кто-то другой это не сделает), клиентов новых подключают медленно и еще куча бреда.
Так везде. Просто в мелких городах это более заметно, т.к. конкуренция или отсутствует вовсе или вопрос о «неснижении цен» решается совместно «всеми двумя» провайдерами где-нибудь в сауне в промежутке между парилкой и девочками. Им, несколько, не до китайцев с их ботнетами. ):
Та нет, как можно сравнить местного провайдера и Укртелеком. Какие там сауны, их даже к секретарю не пустят :). Благо пользователя в данном случае спасает конкуренция и попытка задавить конкурентов :).
Китайцев вообще отключить надо!
ну ironPort защиты от спама и вирусного траффика ставят и он неплохо справляется — тоже самое можно ставить для ддос — вот только вопрос захочет ли кто-то вкладывать в этом деньги
Рассуждения прекрасны, но проблема от этого не решается сама собой. Хотелось бы о средствах фильтрации. О практической части, так сказать.
Отбивался от такой заразы. И основной траффик валил из рунета.
Отбивался от такой заразы. И основной траффик валил из рунета.
Я пишу большую статью где собираю и очень подробно описываю все известные мне и самое главное опробованные методы борьбы с атаками. Думаю осилю к концу следующей недели.
Буду весьма признателен.
Интересно посмотреть на решения.
Интересно посмотреть на решения.
а у вас чего линукс или бсд на сервере?
Linux Ubuntu.
Писал скрипт на руби, который парсил логи и отстреливал через ip route add blackhole _ip_, потому как iptables реагировал на правила ох как не сразу, и посему правил набивалось по 100-200 для каждого IP. От чего iptables чувствовал себя еще хуже. Роутами же блочится наура.
И все было бы хорошо — но скрипт использовал sqlite3 и ел процессор из-за этого. Буду в скором будущем переделывать на TokyoCabinet, там вроде бы не должно быть загвоздок с производительностью.
Мои скромные потуги можно лицезреть на
github.com/daemon/bananoid/tree/master
Писал скрипт на руби, который парсил логи и отстреливал через ip route add blackhole _ip_, потому как iptables реагировал на правила ох как не сразу, и посему правил набивалось по 100-200 для каждого IP. От чего iptables чувствовал себя еще хуже. Роутами же блочится наура.
И все было бы хорошо — но скрипт использовал sqlite3 и ел процессор из-за этого. Буду в скором будущем переделывать на TokyoCabinet, там вроде бы не должно быть загвоздок с производительностью.
Мои скромные потуги можно лицезреть на
github.com/daemon/bananoid/tree/master
Под Ubuntu у меня ничего нет… У меня везде стоит FreeBSD, вот под нее есть очень эффективный скрипт на perl. Заточен именно под отражение http-флуда.
ты вот это пробовал? www.opennet.ru/base/net/pf_faq.txt.html
Это будут примеры под конкретный случай атак. В большинстве случаев разработка (если это скрипт) используется лишь однажды, в случае новой атаки приходится адаптироваться под новые условия. С «железными» помошниками немного попроще в этом плане.
Атака как раз та что описана — куча валидных запросов. Synflood тоже имел место, но с ним уже боролись роутеры и ядро.
А вот приложение убивали (
А вот приложение убивали (
Есть готовые инструменты для фильтрации например пф-фильтр для бсд — систем и они достаточно универсальны, в случае использования линукса и его встроенного фаервола и надстроек к ниму тоже можно добиться универсальности используя статистические методы выявления ботов
> Работая в довольно крупной телекоммуникационной компании, я понял, что ведь интернет- провайдеру особого труда не составит настроить свое оборудование на фильтрацию трафика.
А при чем тут настройка? Настроить можно, но что делать с резко возрастающей нагрузкой на операторское оборудование?
> Предупреждаем массовые атаки как таковые
Простите, а почему вы думаете, что этого не происходит прямо сейчас и именно в этот момент? Любой провайдер, заметивший паразитный трафик идущий от его клиента, как–минимум сделает тому предупреждение.
> если продуманную систему фильтрации ввести хотя бы у основных магистральных провайдеров
Давайте на минуточку представим магистрального оператора, у которого, например, общая ёмкость внешних каналов составляет около 30Gbps. Каждый пакетик, что проходит по ним нужно просмотреть. Держать дорогущее оборудование, которое будет простаивать в лучшем случае 80% времени? Вы такие тарифы оплачивать не захотите.
А при чем тут настройка? Настроить можно, но что делать с резко возрастающей нагрузкой на операторское оборудование?
> Предупреждаем массовые атаки как таковые
Простите, а почему вы думаете, что этого не происходит прямо сейчас и именно в этот момент? Любой провайдер, заметивший паразитный трафик идущий от его клиента, как–минимум сделает тому предупреждение.
> если продуманную систему фильтрации ввести хотя бы у основных магистральных провайдеров
Давайте на минуточку представим магистрального оператора, у которого, например, общая ёмкость внешних каналов составляет около 30Gbps. Каждый пакетик, что проходит по ним нужно просмотреть. Держать дорогущее оборудование, которое будет простаивать в лучшем случае 80% времени? Вы такие тарифы оплачивать не захотите.
Денис, вот Ты пишешь по поводу магистральных провайдеров, возникает по моему очень правильный вопрос, нужно ли им это? Ведь анализ любого трафика, а тем более «отсеивание» не желательного — это ресурсы, ресурсы — это деньги, а деньги это прибыль, поэтому думаю что провайдерам как раз этот вопрос не интересен, если конечно речь не идёт об атаке на самого провайдера.
как человек с магистрали скажу однозначно — это не та тема куда руководство выделит деньги
Тимофей, то что им это не нужно сейчас — факт, но если их обязуют это сделать на законодательном уровне, то они будут вынуждены это сделать. Статистика говорит о том, что количество, мощность DDoS — атак с каждым годом возрастает чуть ли не в разы, так что лет через несколько мы придем к тому, как я думаю, что придется фильтровать весь трафик. Опять же это мое мнение, я не навязываю его всем.
Нельзя обязывать на законодательном уровне вкладывать в оборудование миллионы долларов. В результате канальные операторы поднимут цены и это вызовет замедление роста информатизации общества и недовольство у конечных пользователей.
А как же системы определенного назначения которые мы обязаны ставить по закону, делать линки до органов за свой счет? В маштабах крупного провайдера это тоже немалые средства. И тут и там — безопасность!
а ты сравнивал цены на это оборудование? СОРМ стоит копейки по сравнению с анализаторами фильтрами для 10 гб каналов. Плюс это оборудование никто никогда не испытывал и его просто нет в России. И цели сорм нельзя сравнивать с твоими предложениями.
Да, оно дорогое, бесспорно! Но разве информационная безопасность не стоит таких денег? Я не говорю что ради моего сайта с невысокой посещаемостью надо покупать это оборудование, речь немного о другом — разве у нас так мало интернет-проектов государственной важности? У нас выборы в онлайне уже тестируют, это ли не есть безопасность государства? Или поставим перед этими серверами по циске и все? А Вашу же магистраль забьют под потолок и толку от этих цисок?
Не забывайте, что роль отдельно взятой машины при DDOS незначительная. Может быть один запрос в секунду, а может и в минуту. Когда таких маших сотни (тысячи?) — появляется нагрузка и сервера не выдерживают. И как скажите оборудование провайдера может определить, что именно этот запрос — атака? Посмотрите на число запросов при открытии обычного Invision PowerBoard, там одних gif'ов больше сотни. Сто запросов подряд — это атака?
Я даже больше скажу, стоял у меня сервер на collocation у masterhost, который часто атаковали. Несколько дней подряд шел UDP-flood с одного IP адреса, но настолько мощный, что за пару часов атаки мой баланс уходил на 100$ в минус (сбивалось соотношение 1 к 4). Так вот думаете masterhost заблокировал этот IP? Нет, потому что у них нет такой услуги. Писал и в abuse провайдера с IP которого шла атака — бесполезно. И знаете что пришлось сделать? Направить такой же UDP-flood в ответ. В итоге, к концу месяца непрерывного сливания трафика получилось выравнять соотношение входящего к исходящему (сбитого всего за несколько дней). И masterhost опять же не обратил на это никакого внимания. А тут ведь речь идет о data центре, а не об обычном домашнем провайдере.
Я даже больше скажу, стоял у меня сервер на collocation у masterhost, который часто атаковали. Несколько дней подряд шел UDP-flood с одного IP адреса, но настолько мощный, что за пару часов атаки мой баланс уходил на 100$ в минус (сбивалось соотношение 1 к 4). Так вот думаете masterhost заблокировал этот IP? Нет, потому что у них нет такой услуги. Писал и в abuse провайдера с IP которого шла атака — бесполезно. И знаете что пришлось сделать? Направить такой же UDP-flood в ответ. В итоге, к концу месяца непрерывного сливания трафика получилось выравнять соотношение входящего к исходящему (сбитого всего за несколько дней). И masterhost опять же не обратил на это никакого внимания. А тут ведь речь идет о data центре, а не об обычном домашнем провайдере.
Я с Вами полностью согласен, но опять же все что мной написано — это личные наблюдения. Не далее как 5 дней шла очень сильная атака с Китая. Сеть компьютеров одного провайдера с маской /24. Это-то можно отследить. Да, если из сети провайдера досит 1-5 компов — это не возможно проследить… но когда 200-500 компов… тут уже все на лицо.
Все не совсем так. Выделить паразитный трафик можно. Для этого используются анализаторы статистики (netflow). Другое дело что провайдеры этим не занимаются для выявления ДДоС.
Мы занимаемся. Весь трафик по каждой базе, по каждому сектору базовой станции мониторится круглосуточно, и случаи DDоS и спам — атак выявленных только у нас в городе через наши каналы далеко не единичны. И это при том, что на магистралях безлимы — купленные трубы.
Значит вы прогрессивны, но к сожалению это не общеупотребимая практика
а можно мы к вам обращаться будем для отлова ботов?
Хм… интересно как ты себе это представляешь? Завернуть магистральный трафик на нас? Как же его тогда тарифицировать :)
нет не так, если мы увидим атакующий траффик из вашего города, можем мы просить вас записать дамп бота?
А не является ли этот ваш будущий труд велосипедоизобретательством? Ведь есть уже серьезные организации www.webappsec.org, да и русскоязычные также есть.
Известные вам будете описывать? Это будет узко и, соответственно, не интересно.
Известные вам будете описывать? Это будет узко и, соответственно, не интересно.
ну если оренлаб выложит конкретные скрипты это будет полезно для определенных слоев читателей
а мне кажется будет полезнее в этой теме сделать хорошую подборку с ссылками на авторитетные источники рекомендаций в последовательности на тему типа «Как надо делать правильно и как не надо делать чего», потому как эта область очень профессиональная и компиляции непрофессионалов, конечно может и помогут кому… чем-то, но не дадут знаний. А вот знания-то в таких сферах важнее, чем конкретный скрипт. Конкретный скрипт уводит в сторону, типа взял-вставил-забыл. «Определенным слоям» все-таки полезнее знания, чем шпаргалки-выручалки.
Ну важность практического опыта нельзя недооценивать. Как нельзя переоценивать важность «авторитетных источников».
Вопервых «авторитетные источники» в большинстве своем буржуи, а русская ддос действительность куда более суровая чем западная. Те войны, которые ведуться в рунете еще не скоро осчастливят мировые просторы. Например в юго — восточной азии очень актуальна проблема irc-ботнетов. У нас я их уже года 3 не видел в серьезных атаках.
Вовторых только кажется, что авторитеты хорошо все документируют. Мы ставили центр очистки на pf и столкнулись с рядом проблем которые не лежат на поверхности. Перерыли Интернет и все что мы нашли за бугром это аналагичные нашим вопросы на форумах оставленные без ответа. В конечном счете все решили но только сами поплясав с бубнами в течении суток.
Мне кажется баланс между источниками и опытом будет самое то.
Вопервых «авторитетные источники» в большинстве своем буржуи, а русская ддос действительность куда более суровая чем западная. Те войны, которые ведуться в рунете еще не скоро осчастливят мировые просторы. Например в юго — восточной азии очень актуальна проблема irc-ботнетов. У нас я их уже года 3 не видел в серьезных атаках.
Вовторых только кажется, что авторитеты хорошо все документируют. Мы ставили центр очистки на pf и столкнулись с рядом проблем которые не лежат на поверхности. Перерыли Интернет и все что мы нашли за бугром это аналагичные нашим вопросы на форумах оставленные без ответа. В конечном счете все решили но только сами поплясав с бубнами в течении суток.
Мне кажется баланс между источниками и опытом будет самое то.
Согласен. Баланс — он и в Африке баланс.
Короче, я первоначально хотел сказать, что рассказ «о моей личной точке зрения на очень специальную и профессиональную проблему (ы)» не интересен в самой постановке задачи написания таких рассказов. Скорее это должно быть либо писано профессионалом, либо иметь некую другую форму написания об этом, но не просто рассказ «ах, какой я умный!» :-)
Другими словами, любая литература интересна, роме… неинтересной.
Короче, я первоначально хотел сказать, что рассказ «о моей личной точке зрения на очень специальную и профессиональную проблему (ы)» не интересен в самой постановке задачи написания таких рассказов. Скорее это должно быть либо писано профессионалом, либо иметь некую другую форму написания об этом, но не просто рассказ «ах, какой я умный!» :-)
Другими словами, любая литература интересна, роме… неинтересной.
Мой труд будет носить информационно- аналитический характер, и я надеюсь что он поможет начинающим, да и не только специалистам понять структуру атак, методологию борьбы с ними. Все это я приправлю реальными примерами атак и возможными способами защиты от них, как на программном уровне, так и с использованием аппаратных фаерволов.
Поймите Вы одно, что практически нет 2-х одинаковых атак, если говорить о серьезных атаках, поэтому дать конкретные скрипты и конфиги фаерволов на все случаи жизни просто не возможно. Практически под каждую атаку я вынужден разрабатывать новое решение. Но основой для меня стали не буржуйские сайты, а именно та информация, которую я почерпнул из собственного опыта. Этим опытом, как возможно источником базовых знаний, я и хочу поделиться.
Поймите Вы одно, что практически нет 2-х одинаковых атак, если говорить о серьезных атаках, поэтому дать конкретные скрипты и конфиги фаерволов на все случаи жизни просто не возможно. Практически под каждую атаку я вынужден разрабатывать новое решение. Но основой для меня стали не буржуйские сайты, а именно та информация, которую я почерпнул из собственного опыта. Этим опытом, как возможно источником базовых знаний, я и хочу поделиться.
Предложенный Вами метод уже активно используется. Реализация: stopddos.ru
Автор доступен на форуме Нага: forum.nag.ru/forum/index.php?showtopic=42554
Автор доступен на форуме Нага: forum.nag.ru/forum/index.php?showtopic=42554
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
DDoS — мысли вслух…